通过超链接和伪造数据包请求更改论坛用户密码

最新推荐文章于 2023-01-13 17:45:00 发布
最新推荐文章于 2023-01-13 17:45:00 发布
阅读量351 收藏
点赞数
文章标签: xiaobai
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/t_i_m_e/article/details/79633948
版权

Javascript CSRF

通过学习过去的漏洞来打开自己挖掘漏洞的思路


谷歌F12可以看到Javascript中cookie存放在document中


通过语法


获取cookie中的指定值

更改用户密码思路如下:


通过F12开发者工具可以看出目标站的修改密码请求为POST请求数据包,下面为伪造POST请求的脚本


编辑超链接脚本,并通过评论上传


192.168.98.195:8081站点即为挂载js脚本的网站

用户点击超链接后密码自动更改为000000。


总结:1.这种平台只能靠搭建,应该不存在这种脑抽的程序员不会将评论区的敏感字符过滤

          2.网民警惕意识增强,如何引诱人点击超链接是需要琢磨的

          3.开启同源策略的网站,此方法无效(几乎所有网站都开了吧。。。)

          4.纯属练习,请各位轻喷

t_i_m_e
关注
  • 0
    点赞
  • 0
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
使用JQuery和CSS模拟超链接用户单击事件的实现代码
10-28
使用JQuery和CSS模拟超链接用户单击事件的实现代码,需要的朋友可以参考下
数据包修改、自动化脚本实现及app剖析
cky5252的博客
12-03 3552
某一个app定位功能,在任意地方定位的实现与技术分析
一种简单便捷的构造、修改 PCAP 数据包的方法----仅使用 wireshark
Jason_Math的博客
05-25 7059
一种仅使用wirshark,简单、便捷、高效的构造、修改pcap数据包的方法;先使用 wireshark 将数据包以 Hex Dump 格式复制到 txt 文本,修改 txt 具体内容后使用 wireshark 根目录自带的 text2pcap 程序进行转换。
浅谈系列之跨站请求伪造(CSRF)
hobby云说
10-31 368
一、CSRF简介 CSRF,英文全称Cross-Site Request Forgery,跨站请求伪造,坏家伙冒充用户身份执行用户操作。百度上是这么说的:是一种挟制用户在当前已登录的Web应用程序上执行非本意操作的方法。 简而言之就是,坏家伙盗用你的身份,用你的名义发送恶意的请求。突然想到几个成语,CSRF似乎都有点狐假虎威、借刀杀人的味道。 二、CSRF的危害 坏家伙可以用你的名义发邮件、发消息、买东西、转账......甚至,能假借你的名义进行一系列...
【SSRF01】服务器端请求伪造——漏洞基础原理及攻防
Fighting_hawk的博客
03-15 6070
1. 理解SSRF漏洞的攻击原理; 2. 掌握SSRF漏洞的挖掘方式; 3. 掌握SSRF漏洞的攻击方式和利用方式; 4. 掌握SSRF漏洞的防御方式。
SSRF 服务端请求伪造(转载)
bluemoon_0的博客
01-13 114
SSRF 服务端请求伪造(转载)
获取网页密码、代码程序.rar_IHTMLDocument2_webbrowser_密码 网页 _网页密码_超链接
09-23
本程序演示如何通过窗口句柄取webbrowser控件的IHtmlDocument2接口
css通过伪类来设置超链接样式附示例
09-25
css设置超链接样式是通过伪类来实现的,默认状态下,创建的超级链接的文字颜色为蓝色,并带有下划线,访问之后变为紫色,下面有个不错的示例,喜欢的朋友可以尝试操作下
Java 添加、更新和移除PDF超链接的实现方法
08-25
PDF超链接用一个简单的链接包含了大量的信息,满足了人们在不占用太多空间的情况下渲染外部信息的需求。这篇文章主要介绍了Java 添加、更新和移除PDF超链接的实现方法,需要的朋友可以参考下
Jquery 模拟用户点击超链接或者按钮的方法
10-26
在Jquery中可以通过选中a标签使用trigger方法定义事件即可模拟用户点击超链接或者按钮,感兴趣的朋友操作下
数据包修改参数
m0_43406494的博客
10-17 858
Get方法 只需使用url的语法,在url中修改参数即可 如 Post方法 使用hackbar插件很方便的添加参数,loadurl将当前页面的url加载到上面的框,勾选post data,添加post的参数,execute即可 怎么使用burpsuite修改?如何直接对数据包进行修改从而post参数? 解答如下: 使用?来添加get方法参数时发送的数据包 使用hackbar添加参数时的数据包(如下图),观察学习得知,关键修改三个地方 ①Get方...
Fiddler小技巧之URL替换
Difffate的技术随笔
03-16 5983
今天遇到一个问题,用户反映打开APP中的一个功能很慢。因为并没有用户密码,开始我想让移动端的人,帮忙打个模拟这个用户正式的包。但是移动端的人,今天太忙:(。虽然我有用户的token,并且从几个请求,自己手动替换token后,都能正常返回。但是看不到一个整体的效果,所以就在想有没有好的方式。这个时候,想到了fiddler。赶紧上网搜了下,上次强大的fiddler直接有个替换host到指定ip的功能
Request请求内容编码修改(偷懒) 与 XSS 叙述处理(滚蛋吧,脚本仔)
CoffeeAndIce的博客
12-05 671
  对于在每个方法内部针对性的进行UTF - 8 字符编码的骚操作,已经烦乎其烦,不过确实等你烦的时候似乎就会有耐心去偷懒,好吧,进入正题。本文除了解决这个我看了一堆重复编码之后的代码之后,还有处理XSS攻击的方式,给自己留点速查的方式。 目录        请求内容编码修改部分 1、事实证明这样CV根本不能偷懒(展示例子) 2、如果能一次修改,以后都不用CV多舒服 第一步,寻找源头实现...
伪造链接地址的二种方法
甘焕的博客
06-25 8196
在浏览器的涉及中,为了防止链接地址被伪造,浏览器一般会在状态栏显示地址信息,但可惜的是,显示的地址信息是静态的,也就是说,浏览器难以发现地址的动态变化,截图如下:针对浏览器的这种特性,我们可以很容易伪造出与浏览器状态栏地址信息不同的链接,示例代码如下:<a href="http://www.sina.com.cn" id="sina">新浪</a>方法一:利用mouseup事件通过组合使用mouse
修改post参数然后发送
热门推荐
王浩的专栏
09-05 1万+
修改POST参数的方法 最近看DVWA里SQL注入,在medium阶段有一个需求就是,修改post的参数,然后再发送出去。篡改参数是注入里的一个比较重要的方法。讲一下有哪些方法可以做到。 浏览器插件修改参数最初想到的就是浏览器插件,既然浏览器基本的功能可以显示包的内容,包括头部和参数,那应该会有插件可以修改参数吧。在chrome查找了很多,tamper chrome只能修改header,无法修改po
Scapy 伪造网络数据包
weixin_30505043的博客
04-20 1617
实验说明 这里说明的数据包伪造只是伪造数据包发送的源地址。网络上有一些有人说可以对数据包内容的伪造(修改)和转发,不过目前还没找到这一点是如何完成的,甚至是在官方提供的文档上也没有看到这一类操作的说明。 版权说明 著作权归作者所有。 商业转载请联系作者获得授权,非商业转载请注明出处。 本文作者:Coding-Naga 发表日期: 2016年4月20日 本文...
通过超链接打开Oracle ebs界面功能,不需要验证账户密码
最新发布
06-01
您可以使用以下代码创建一个超链接,以打开Oracle EBS界面: ...``` 请将 `服务器地址>` 替换为您的EBS...如果您的EBS服务器地址和端口号都是正确的,单击该链接将会打开Oracle EBS界面,而不需要进行账户密码验证。

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值